Pensez comme un hacker, agissez comme un pro de la cybersécurité

Alors que les soins de santé continuent d’adopter la connectivité entre les appareils médicaux, la cybersécurité est plus importante que jamais. Et pourtant, un récent sondage d’Irdeto a révélé que seulement 18% des leaders de la technologie médicale pensent que la sécurité intégrée à leurs dispositifs médicaux est solide.

Des experts d’Irdeto, Siemens Healthineers et H-ISAC se sont récemment réunis pour une table ronde virtuelle sur ce que les fabricants de dispositifs médicaux doivent faire afin d’améliorer leurs méthodes de cybersécurité pour protéger leurs produits et, en fin de compte, les fournisseurs et les patients qui les utilisent. Les panélistes comprenaient Hans-Martin von Stockhausen, responsable des produits et des solutions et responsable produit senior de la cybersécurité chez Siemens Healthineers ; Steeve Huin, directeur du marketing et directeur général de l’activité de cybersécurité de la santé connectée d’Irdeto. Tyler Cyber, analyste des renseignements sur les menaces au Health-ISAC Threat Operations Center, a animé la discussion. Vous trouverez ci-dessous les principaux points à retenir de la discussion.

« Rendre l’analyse de rentabilisation négative pour les méchants »

Huin a déclaré que dans la plupart des cas, une bonne cybersécurité consiste à rendre les choses suffisamment difficiles pour dissuader les pirates informatiques et leur donner envie de pirater autre chose parce que votre réseau ou votre appareil est trop dur.

« Il ne s’agit pas nécessairement de rendre les choses complètement impossibles à attaquer, car avec suffisamment d’argent et de temps, tout peut être attaqué », a déclaré Huin. « Il s’agit principalement de rendre les choses suffisamment difficiles pour que les gens aillent faire autre chose. »

Stockhausen a accepté et a rappelé une phrase qu’il a entendue une fois sur le fait de rendre l’analyse de rentabilisation négative pour les méchants. Vous ne pouvez augmenter vos mesures de protection que dans une certaine mesure, a-t-il déclaré, car à un certain moment, cela commence à interférer avec la facilité d’utilisation du dispositif médical.

« Il s’agit toujours d’un débat constant entre les équipes de produits en matière de sécurité centrée sur les États-Unis, sur le degré de sécurité suffisant dans l’appareil et le degré de sécurité qui devrait transparaître », a déclaré Stockhausen. « Je dirais qu’une très bonne sécurité est une sécurité qui passe inaperçue mais qui fait toujours son travail. »

Atteindre cet équilibre est plus facile à dire qu’à faire, a-t-il admis. Des contrôles de cybersécurité vraiment stricts ont généralement au moins un certain impact sur la convivialité, donc dans les technologies médicales en particulier, il est difficile de définir des contrôles de cybersécurité d’une manière qui n’affecte pas la routine clinique.

Il est difficile de trouver de bons talents en cybersécurité

« D’après notre analyse portant sur d’autres secteurs, et de manière générale, il existe une pénurie mondiale d’ingénieurs en sécurité, de personnes possédant les connaissances nécessaires, car à l’heure actuelle, presque tous les secteurs du monde sont préoccupés par la cybersécurité, n’est-ce pas ? Nous vivons dans un monde hyper connecté, ce qui signifie que les choses deviennent de plus en plus vulnérables aux attaques », a déclaré Huin. « … Il est vrai que vous devez penser à embaucher les bonnes personnes qui ont cette expertise, vous devez également penser à examiner les normes.

Il existe de nombreuses normes de cybersécurité que les organisations doivent suivre pour obtenir des orientations générales, mais il a également reconnu que certaines de ces normes sont contradictoires.

Stockhausen a déclaré que les organisations pourraient découvrir que même sans aucun programme ou processus de cybersécurité à l’échelle de l’entreprise, il existe des îlots d’individus enthousiastes à propos de la sécurité, qui en comprennent l’importance et ont peut-être déjà commencé à appliquer des mesures de cybersécurité à un niveau plus local, comme pendant la phase de conception et de développement, les phases de test, etc. Il recommande de former une communauté de praticiens pour s’assurer qu’il y a un échange de connaissances, d’idées et d’enthousiasme concernant la cybersécurité au sein de l’entreprise.

La cybersécurité ne sera jamais une chose « une fois faite »

Huin a déclaré que la cybersécurité n’a jamais été et ne sera jamais une chose une fois faite. Il doit commencer par le concept d’un produit et se poursuivre non seulement jusqu’à la commercialisation, mais aussi au stade post-commercialisation, tout au long du cycle de vie du produit.

« Au tout début… lorsque vous commencez réellement à penser à ce que vous pouvez construire… vous devez vous assurer que nous utilisons la bonne technologie, que vous avez validé que les technologies font exactement ce que [they’re] censé faire pendant votre processus de développement, et vers la sortie, puis bien sûr la gestion post-commercialisation », a déclaré Huin. « Et assurez-vous de garder une trace de ce qui se passe sur le marché [with the] dispositif. »

La cybersécurité doit être appréhendée de haut en bas

Les fabricants de dispositifs médicaux doivent adopter une stratégie de cybersécurité holistique, le mot clé étant holistique, a déclaré Stockhausen. Chaque partie de l’entreprise ainsi que les fournisseurs de l’entreprise doivent adhérer aux normes de cybersécurité, a-t-il déclaré.

« Et last but not least, tout cela doit être repris par la direction, car seule la haute direction assure la sécurité », a-t-il déclaré.